2 xmlns=”http://www.w3.org/1999/xhtmlLa definizione di honeypot xmlns=”http://www.w3.org/1999/xhtmlUna definizione di honeypot proviene dal mondo dello spionaggio, dove le spie in stile Mata Hari che usano una relazione romantica come mezzo per rubare segreti sono descritte come “trappola al miele” o “honeypot”. Spesso, una spia nemica viene compromessa da una trappola al miele e poi costretta a consegnare tutto ciò che sa.
xmlns=”http://www.w3.org/1999/xhtmlIn termini di sicurezza informatica, un honeypot informatico funziona in modo simile, preparando una trappola per gli hacker. Si tratta di un sistema informatico sacrificale che ha lo scopo di attirare i cyberattacchi, come un’esca. Imita un obiettivo per gli hacker, e utilizza i loro tentativi di intrusione per ottenere informazioni sui criminali informatici e il modo in cui operano o per distrarli da altri obiettivi. 2 xmlns=”http://www.w3.org/1999/xhtmlCome funzionano le honeypot xmlns=”http://www.w3.org/1999/xhtmlLa honeypot assomiglia a un vero sistema informatico, con applicazioni e dati, ingannando i criminali informatici a pensare che sia un obiettivo legittimo. Per esempio, un honeypot potrebbe imitare il sistema di fatturazione di una società – un obiettivo frequente di attacco per i criminali che vogliono trovare numeri di carte di credito. Una volta che gli hacker sono entrati, possono essere tracciati e il loro comportamento valutato per trovare indizi su come rendere la rete reale più sicura. xmlns=”http://www.w3.org/1999/xhtmlLe honeypot sono rese attraenti per gli attaccanti costruendo deliberatamente vulnerabilità di sicurezza. Per esempio, un honeypot potrebbe avere porte che rispondono a un port scan o password deboli. Le porte vulnerabili potrebbero essere lasciate aperte per attirare gli attaccanti nell’ambiente honeypot, piuttosto che nella rete live più sicura. xmlns=”http://www.w3.org/1999/xhtmlUn honeypot non è impostato per affrontare un problema specifico, come un firewall o un anti-virus. Invece, è uno strumento di informazione che può aiutarvi a capire le minacce esistenti per il vostro business e individuare l’emergere di nuove minacce. Con l’intelligence ottenuta da un honeypot, gli sforzi di sicurezza possono essere prioritari e focalizzati. 2 xmlns=”http://www.w3.org/1999/xhtmlDiversi tipi di honeypot e come funzionano xmlns=”http://www.w3.org/1999/xhtmlDiversi tipi di honeypot possono essere utilizzati per identificare diversi tipi di minacce. Le varie definizioni di honeypot si basano sul tipo di minaccia che viene affrontata. Tutti loro hanno un posto in una strategia di cybersecurity completa ed efficace. xmlns=”http://www.w3.org/1999/xhtmlLe trappole e-mail o spam traps collocano un indirizzo e-mail falso in una posizione nascosta dove solo un raccoglitore di indirizzi automatico sarà in grado di trovarlo. Dal momento che l’indirizzo non viene utilizzato per nessun altro scopo che non sia la trappola per lo spam, è sicuro al 100% che qualsiasi mail che arriva ad esso è spam. Tutti i messaggi che contengono lo stesso contenuto di quelli inviati alla spam trap possono essere bloccati automaticamente, e l’IP di origine dei mittenti può essere aggiunto a una denylist. xmlns=”http://www.w3.org/1999/xhtmlUn database decoy può essere impostato per monitorare le vulnerabilità del software e individuare gli attacchi che sfruttano l’architettura insicura del sistema o che utilizzano SQL injection, lo sfruttamento dei servizi SQL o l’abuso di privilegi. xmlns=”http://www.w3.org/1999/xhtmlUn malware honeypot imita le applicazioni software e le API per invitare attacchi malware. Le caratteristiche del malware possono poi essere analizzate per sviluppare software anti-malware o per chiudere le vulnerabilità nelle API. xmlns=”http://www.w3.org/1999/xhtmlUn honeypot spider ha lo scopo di intrappolare i webcrawler (‘spider’) creando pagine web e link accessibili solo ai crawler. Rilevare i crawler può aiutarvi a imparare come bloccare i bot dannosi, così come i crawler di reti pubblicitarie. xmlns=”http://www.w3.org/1999/xhtmlMonitorando il traffico che entra nel sistema honeypot, è possibile valutare: l xmlns=”http://www.w3.org/1999/xhtml
xmlns=”http://www.w3.org/1999/xhtmlUn’altra definizione di honeypot guarda se un honeypot è ad altainterazione o a bassa interazione. Le honeypots a bassa interazione utilizzano meno risorse e raccolgono informazioni di base sul livello e il tipo di minaccia e da dove proviene. Sono facili e veloci da configurare, di solito con solo alcuni protocolli TCP e IP di base simulati e servizi di rete. Ma non c’è nulla nell’honeypot per impegnare l’attaccante per molto tempo, e non otterrete informazioni approfondite sulle loro abitudini o su minacce complesse. xmlns=”http://www.w3.org/1999/xhtmlD’altra parte, le honeypots ad alta interazione mirano a far passare agli hacker più tempo possibile all’interno dell’honeypot, fornendo molte informazioni sulle loro intenzioni e obiettivi, così come le vulnerabilità che stanno sfruttando e il loro modus operandi. Pensatelo come un honeypot con l’aggiunta di “colla” – database, sistemi e processi che possono impegnare un attaccante per molto più tempo. Questo permette ai ricercatori di tracciare dove gli aggressori vanno nel sistema per trovare informazioni sensibili, quali strumenti usano per aumentare i privilegi o quali exploit usano per compromettere il sistema.
xmlns=”http://www.w3.org/1999/xhtmlLe honeypots ad alta interazione sono, comunque, affamate di risorse. È più difficile e dispendioso in termini di tempo configurarle e monitorarle. Possono anche creare un rischio; se non sono protetti da un ‘honeywall’, un hacker davvero determinato e astuto potrebbe usare un honeypot ad alta interazione per attaccare altri host internet o per inviare spam da una macchina compromessa. xmlns=”http://www.w3.org/1999/xhtmlEntrambi i tipi di honeypot hanno un posto nella sicurezza informatica. Utilizzando una miscela di entrambi, è possibile raffinare le informazioni di base sui tipi di minacce che provengono dalle honeypots a bassa interazione, aggiungendo informazioni sulle intenzioni, le comunicazioni e gli exploit dall’honeypot ad alta interazione. xmlns=”http://www.w3.org/1999/xhtmlUtilizzando le cyber honeypots per creare un quadro di threat intelligence, un’azienda può assicurarsi di indirizzare la spesa per la cybersecurity nei punti giusti e può vedere dove ha punti deboli nella sicurezza. 2 xmlns=”http://www.w3.org/1999/xhtmlI vantaggi dell’uso delle honeypots xmlns=”http://www.w3.org/1999/xhtmlLe honeypots possono essere un buon modo per esporre le vulnerabilità nei sistemi principali. Per esempio, un honeypot può mostrare l’alto livello di minaccia rappresentato dagli attacchi ai dispositivi IoT. Può anche suggerire modi in cui la sicurezza potrebbe essere migliorata. xmlns=”http://www.w3.org/1999/xhtmlL’utilizzo di un honeypot ha diversi vantaggi rispetto al tentativo di individuare l’intrusione nel sistema reale. Per esempio, per definizione, una honeypot non dovrebbe ricevere alcun traffico legittimo, quindi qualsiasi attività registrata è probabilmente una sonda o un tentativo di intrusione. xmlns=”http://www.w3.org/1999/xhtmlQuesto rende molto più facile individuare modelli, come indirizzi IP simili (o indirizzi IP che provengono tutti da un paese) utilizzati per effettuare un controllo della rete. Al contrario, questi segni rivelatori di un attacco sono facili da perdere nel rumore quando si osservano alti livelli di traffico legittimo sulla rete principale. Il grande vantaggio di usare la sicurezza dell’honeypot è che questi indirizzi malevoli potrebbero essere gli unici che si vedono, rendendo l’attacco molto più facile da identificare. xmlns=”http://www.w3.org/1999/xhtmlPerché le honeypot gestiscono un traffico molto limitato, sono anche leggere nelle risorse. Non hanno grandi esigenze di hardware; è possibile impostare una honeypot utilizzando vecchi computer che non si usano più. Per quanto riguarda il software, un certo numero di honeypots già scritte sono disponibili da repository online, riducendo ulteriormente la quantità di sforzo interno necessario per ottenere un honeypot attivo e funzionante. xmlns=”http://www.w3.org/1999/xhtmlLe honeypots hanno un basso tasso di falsi positivi. Questo è in netto contrasto con i tradizionali sistemi di rilevamento delle intrusioni (IDS) che possono produrre un alto livello di falsi allarmi. Ancora una volta, questo aiuta a dare priorità agli sforzi e mantiene la richiesta di risorse da un honeypot a un livello basso. (Infatti, utilizzando i dati raccolti dalle honeypots e correlandoli con altri log di sistema e firewall, l’IDS può essere configurato con avvisi più rilevanti, per produrre meno falsi positivi. In questo modo, le honeypots possono aiutare a perfezionare e migliorare altri sistemi di cybersecurity.)
xmlns=”http://www.w3.org/1999/xhtmlLe honeypots possono darvi informazioni affidabili su come le minacce si stanno evolvendo. Forniscono informazioni su vettori di attacco, exploit e malware – e nel caso delle trappole e-mail, su spammer e attacchi di phishing. Gli hacker affinano continuamente le loro tecniche di intrusione; un honeypot informatico aiuta a individuare le nuove minacce e intrusioni emergenti. Un buon uso delle honeypots aiuta anche a sradicare i punti ciechi. xmlns=”http://www.w3.org/1999/xhtmlLe honeypots sono anche ottimi strumenti di formazione per il personale tecnico di sicurezza. Un honeypot è un ambiente controllato e sicuro per mostrare come lavorano gli attaccanti ed esaminare diversi tipi di minacce. Con un honeypot, il personale di sicurezza non sarà distratto dal traffico reale che utilizza la rete – sarà in grado di concentrarsi al 100% sulla minaccia. xmlns=”http://www.w3.org/1999/xhtmlHoneypots può anche catturare minacce interne. La maggior parte delle organizzazioni passano il loro tempo a difendere il perimetro e ad assicurarsi che outsider e intrusi non possano entrare. Ma se si difende solo il perimetro, qualsiasi hacker che ha superato con successo il firewall ha carta bianca per fare qualsiasi danno possibile ora che è all’interno. xmlns=”http://www.w3.org/1999/xhtmlI firewall non aiutano nemmeno contro una minaccia interna – un dipendente che vuole rubare dei file prima di lasciare il lavoro, per esempio. Un honeypot può darvi informazioni altrettanto buone sulle minacce interne e mostrare le vulnerabilità in aree come i permessi che permettono agli insider di sfruttare il sistema. xmlns=”http://www.w3.org/1999/xhtmlInfine, impostando un honeypot sarete in realtà altruisti e aiuterete altri utenti di computer. Più tempo gli hacker passano a sprecare i loro sforzi sulle honeypots, meno tempo hanno a disposizione per hackerare i sistemi live e causare danni reali – a voi o ad altri. 2 xmlns=”http://www.w3.org/1999/xhtmlI pericoli delle honeypots xmlns=”http://www.w3.org/1999/xhtmlMentre la cybersicurezza delle honeypot aiuta a tracciare l’ambiente delle minacce, le honeypots non vedono tutto quello che succede – solo l’attività diretta alle honeypot. Solo perché una certa minaccia non è stata diretta contro l’honeypot, non si può presumere che non esista; è importante tenere il passo con le notizie sulla sicurezza IT, non solo affidarsi alle honeypot per notificare le minacce. xmlns=”http://www.w3.org/1999/xhtmlUna buona honeypot configurata correttamente ingannerà gli attaccanti facendogli credere di aver ottenuto l’accesso al sistema reale. Avrà gli stessi messaggi di avviso di login, gli stessi campi di dati, persino lo stesso look and feel e gli stessi loghi dei vostri sistemi reali. Tuttavia, se un attaccante riesce a identificarlo come un honeypot, può procedere ad attaccare gli altri sistemi lasciando intatto l’honeypot. xmlns=”http://www.w3.org/1999/xhtmlUna volta che un honeypot è stato ‘dattilografato’, un attaccante può creare attacchi spoofed per distrarre l’attenzione da un vero exploit mirato contro i vostri sistemi di produzione. Possono anche fornire informazioni sbagliate all’honeypot. xmlns=”http://www.w3.org/1999/xhtmlPeggio ancora, un attaccante intelligente potrebbe potenzialmente usare un honeypot come via di accesso ai vostri sistemi. Ecco perché le honeypot non possono mai sostituire controlli di sicurezza adeguati, come i firewall e altri sistemi di rilevamento delle intrusioni. Poiché un honeypot potrebbe servire come rampa di lancio per ulteriori intrusioni, assicuratevi che tutti gli honeypot siano ben protetti. Un ‘honeywall’ può fornire la sicurezza di base dell’honeypot e impedire agli attacchi diretti contro l’honeypot di entrare nel vostro sistema live. xmlns=”http://www.w3.org/1999/xhtmlUn honeypot dovrebbe darvi informazioni per aiutarvi a dare priorità ai vostri sforzi di cybersecurity – ma non può sostituire una corretta cybersecurity. Per quante honeypots tu abbia, considera un pacchetto come Endpoint Security Cloud di Kaspersky per proteggere le tue risorse aziendali. (Kaspersky utilizza le proprie honeypots per rilevare le minacce internet, così non dovrai farlo tu.) xmlns=”http://www.w3.org/1999/xhtmlIn generale, i benefici dell’utilizzo delle honeypots superano di gran lunga i rischi. Gli hacker sono spesso considerati una minaccia lontana e invisibile – ma utilizzando le honeypots, è possibile vedere esattamente cosa stanno facendo, in tempo reale, e utilizzare queste informazioni per impedire loro di ottenere ciò che vogliono. xmlns=”http://www.w3.org/1999/xhtmlLink correlati xmlns=”http://www.w3.org/1999/xhtmlIoT sotto tiro: Kaspersky rileva più di 100 milioni di attacchi su dispositivi smart nel H1 2019 xmlns=”http://www.w3.org/1999/xhtmlCome il malware penetra nei computer e nei sistemi IT xmlns=”http://www.w3.org/1999/xhtmlCosa è il Browser Hijacking?